Uppdatering kl. 11.54
Problemet har utretts och oma.abitti.fi fungerar igen.
—
En funktionsstörning hindrar för tillfället användningen av tjänsten oma.abitti.fi. För närvarande syns inga provuppgifter eller provsvar i tjänsten. Störningen utreds och åtgärdas så fort som möjligt.
Nämnden beklagar störningen.
Följande ändringar som påverkar användningen av Abitti kommer att göras i juni.
Editorn som används för att göra upp prov i det gamla MEB-provformatet tas ur bruk torsdagen 8.6. Efter detta kan prov endast göras upp med editorn Bertta eller genom att ladda upp prov med knappen Hämta prov[LR(1] . Förhandsgranskningen av prov i det gamla formatet faller också bort.
De prov som gjorts i det gamla provformatet kommer fortfarande att finnas kvar i Abitti. Prov i det gamla formatet kan fortfarande laddas upp med knappen Hämta prov och enskilda uppgifter kan kopieras över till nya prov med funktionen för kopiering av uppgifter i editorn Bertta.
Vi meddelade om denna förändring 1.9.2022. Vi har ännu inte fattat beslut om när möjligheten att ladda upp nya MEB-prov med knappen hämta prov faller bort eller när alla prov i MEB-formatet tas bort ur Abitti.
Underhållsarbeten görs i Abitti tisdagen 20.6. På grund av detta kommer det att vara ett flera timmar långt avbrott i tjänsten med början efter kl. nio på förmiddagen. Prov kan ordnas också under avbrottet, men provuppgifterna måste laddas ned dagen innan. Det kommer troligen att vara möjligt att bedöma prov redan på tisdag eftermiddag.
Abitti-stödet önskar alla semesterfirare en riktigt god undervisningsfri period eller semester!
Abittis servicesavbrott tar längre än planerat. Nättjänsten oma.abitti.fi, som används för att skapa och bedöma prov, kommer eventuellt att vara ur drift imorgon den 29.12.2022.
Vi beklagar det förlängda avbrottet!
Abitti undergår service onsdagen den 28.12.2022. Webbtjänsten abitti.fi, som används för att skapa provuppgifter och bedöma provprestationer är ur bruk. Avbrottet räcker eventuuellt hela arbetsdagen.
De prov som skapats och laddats ned innan avbrottet kan hållas, men provprestationerna kan laddas upp först då avbrottet är över.
Följande Abittiversion ges ut i början av januari. Denna version kommer att motsvara den Abittiverson som används i studentexamen våren 2023.
Abittistödet önskar alla en god jul och ett gott nytt år!
Abitti-versionen som publicerades i slutet av oktober åtgärdade allvarliga datasäkerhetsluckor.
Den allvarligaste sårbarheten fanns i provlokalens server. Sårbarheten gjorde det möjligt att modifiera och ladda ner och uppgifter från provlokalens server (till exempel examinandens personuppgifter, provprestationerna och säkerhetskopior av filer som sparats av examinanden).
En annan åtgärdad sårbarhet var en bunt liknande metoder som möjliggjorde examinanden att få administratorrättigheter till sin egen dator. Dessutom var versionsnumret på licensavtalet i examinandens dator felaktigt.
Datasäkerhetsluckorna har funnits i alla studentexamensprov som hittills arrangerats. Studentexamensnämnden har inte uppgifter om huruvida sårbarheterna har utnyttjats vid studentexamen.
Studentexamensnämnden rekommenderar arrangörer av övningsprov med hjälp av Abitti-systemet att omedelbart uppdatera till säkra versioner:
Säkerhetshålen hittades i HackDay-tävlingen som anordnades av LokalTapiola för så kallade white hat-hackare den 15.10.2022. Studentexamensnämnden har behandlat resultaten enligt sin normala politik så att de publiceras inom tre månader från kungörandet. På grund av hackerevenemangets konfidentiella karaktär känner Studentexamensnämnden inte till namnen på de team och teammedlemmar som hittade sårbarheterna.
Studentexamensnämnden tackar LokalTapiola och alla de som rapporterat sårbarheter.
Vid HackDay-evenemanget gjordes även andra datasäkerhetsfynd gällande Abitti, som kommer att rapporteras senare.
Nedan följer kortfattade beskrivningar av de nu åtgärdade sårbarheterna.
Den allvarligaste sårbarheten tillåter tillägg, ändring och nedladdning av filer från provlokalens server. Attacken ska utföras från en dator ansluten till det lokala provnätverket, till exempel från examinandens egen dator. Missbruket kräver inloggning på provlokalens server.
Attacken är baserad på otillräcklig sanering av indata i gränssnittet som används för att säkerhetskopiera filerna som skapats av examinanden under provet.
Sårbarhetsklassifiering: CVSS: 8,8 (högt)
Sårbarheten möjliggör exekvering av godtyckliga kommandon på examinandens egen dator med root-användarrättigheter. Attacken baseras på mekanismen i Abitti-provsystemet, som kan användas för att uppdatera filerna på examinandens dator i samband med provfilerna. Uppdateringsmekanismen extraherar filerna till en tillfällig katalog på examinandens dator före installering. En vältajmad attack ersätter filerna med angriparens filer, som är installerade i provmiljön med root-privilegier.
Attacken är endast möjlig i prov som innehåller ett paket som uppdaterar examinandens dator. Allvarlighetsgraden av observationen vid studentexamen minskas av den tekniska övervakningen av examinandens dator.
Sårbarhetsklassifiering: CVSS-poäng: 2,0 (lågt)
När provdeltagaren loggade in visades fel versionsnummer 1.3 av licensavtalet, då rätt versionsnummer skulle ha varit 1.4.
Det egentliga versionsnumret i det läsbara licensavtalet har varit korrekt (1.4) och själva avtalstexten har motsvarat versionen på webbplatsen Abitti.fi (1.4).
Sårbarhetsklassifiering: GDPR-överträdelse
Möjligheten att ladda ner MEB-prov som skapats med den gamla proveditorn upphör i dag den 10.10.2022.
Det gamla provformatet har varit i bruk sedan 2015, men de sista studentproven gjordes med det hösten 2019.
Bertta-editorn för det nya MEX-provformatet, har varit i bruk i Abitti sedan början av 2022. Under höstterminen har de allra flesta Abitti-proven skapats med MEX-formatet.
Provformat som används i Abitti-prov 2022. Gult = prov i MEB-format, blått = prov automatiskt konverterade från MEB-format till MEX-format, rött = prov i MEX-format.
Mer information:
Denna höst genomgår Abitti den största förändringen hittills i sin historia. MEB-provformatet, också känt som JSON-formatet, som lanserades då Abitti kom ut år 2015 tas ur bruk på serverpinnarna. Detta innebär att prov som konstruerats i det gamla MEB-formatet inte längre kan hållas.
SEN slutar stöda stödet för MEB-formatet i Abitti eftersom det inte på åratal längre har använts i studentexamensproven. Det är numera lätt att konstruera prov i det nya MEX-formatet då Bertta-editorn är klar.
MEB-formatet tas ur bruk enligt följande:
Nedan beskrivs närmare hur förändringarna fortskrider.
MEB-prov kan inte längre laddas upp och föras över till provlokalens server med knappen ”Ladda provuppgifter”.
MEB-proven finns kvar på listan över prov, och enskilda uppgifter kan kopieras från proven till nya MEX-prov som görs upp med editorn Bertta. Eftersom programkodspråket för MEB-proven tillåter mycket är det möjligt att alla uppgifter inte går att kopiera perfekt. I vissa uppgifter kan det finnas så krångliga HTML-koder att de inte går att kopiera över huvudtaget. I sådana fall är det enda alternativet att kopiera uppgifterna ”för hand” via klippbordet.
De gamla studentexamensproven i MEB-format i webbtjänsten Examina är fortfarande tillgängliga och kan föras in i Abitti. Egna prov i MEB-formatet kan flyttas (knappen ”Exportera prov (.zip)” i provlistan) och laddas upp (”För in prov (.zip)).
Med andra ord är det alltså fortfarande möjligt att hämta in gamla studentexamensprov eller prov som gjorts av t.ex. förläggare i MEB-formatet och kopiera uppgifter ur dem i editorn Bertta.
I den Abittiversion som ges ut efter höstens studentexamensprov kan MEB-prov inte längre laddas. Versionen är en s.k. stor uppdatering, eftersom Debian GNU/Linux, som ligger bakom Abitti, uppdateras till en nyare version.
Programmen som finns att tillgå kommer fortfarande att vara som tidigare, och versionen som erbjuds kommer också i de flesta fallen att vara densamma. Den största förändringen gäller LibreOffice, som uppdateras från version 6 till version 7. Enligt vad vi känner till kommer inga förändringar som påverkar användandet att ske då det gäller räknarprogrammen.
Nya versioner av Linuxkerneln kommer att finnas med i den nya versionen av Abitti, vilket inverkar på maskinkompatibiliteten. Detta underlättar förhoppningsvis användningen av Abitti på nyare datorer.
Den nya versionen av Abitti kommer att användas i studentexamensproven våren 2023.
Ända fram till denna tidpunkt har det varit möjligt att hålla MEB-prov med hjälp av de Abitti-pinnar som gavs ut i augusti och MEB-provpaket som laddats ned före den 10 oktober. Från och med slutet av november kan provprestationer från prov i MEB-format inte längre returneras till webbtjänsten oma.abitti för bedömning och MEB-prov kan inte heller bedömas i tjänsten.
Studerandena kan inte längre öppna länkarna till bedömda MEB-prov som de fått per e-post.
Ända fram till denna tidpunkt har det varit möjligt att bearbeta gamla MEB-prov med den gamla MEB-proveditorn, men nu är det inte längre möjligt att konstruera och bearbeta MEB-prov.
Beslut har inte ännu fattats gällande när det inte längre kommer att vara möjligt att hämta in nya MEB-prov i Abitti med knappen ”För in prov (.zip)” eller när alla prov i MEB-format avlägsnas ur Abitti.
Läs mer:
För ett år sedan avslutade vi distributionen av AbittiUSB-programmet som används för skrivningen av de USB-minnen som används i Abitti. Innan dess hade vi i åratal rekommenderat balenaEtcher-programmet för att skriva minnespinnarna. Den är enkel att använda, öppen källkod och tillgänglig för flera olika operativsystem – allt som allt så bra att underhållet av SEN:s egen AbittiUSB kändes som ett slöseri av skattepengar.
Användningen av AbittiUSB upphörde slutgiltigt 20.6.2022. Programmet får inte längre information om nya versioner från SEN:s server.
I slutet av 2014 var det bråttom med SEN:s digitala projekt. Vårt mål var att öppna provsystemet avsett för övningsbruk till gymnasierna i januari 2015. Fokus låg på editorn som behövs för redigeringen av provuppgifterna och bedömningstjänsten som används för att bedöma provprestationerna, men under ett vardagligt lunchsamtal började vi fundera på hur man skriver USB-minnen.
Hittills var det tänkt att gymnasierna skulle ladda upp skivavbilderna och skriva dem på USB-minnet med tidstypiska redskap som Win32 Disk Imager som fortfarande delas ut. Vid lunchbordet blev vi oroliga för att det skulle vara klumpigt att skriva ett minne i taget. Dessutom behövde användaren se till att skivavbilden laddades och att dess felfrihet blev kontrollerad.
Som alltid verkade lösningen enkel: Man skriver ett program som laddar ner en skivavbild, kontrollerar dess riktighet automatiskt och samtidigt skriver en skivavbild på alla USB-minnespinnar som är anslutna till datorn.
Den första versionen av lösningen uppstod som ”tjänstemannaarbete”. MEB-DD var skrivet på VBScript och FreePascal. Användargränssnittet hade skapats med Windows HTA, dvs. en webbläsarbaserad applikation.
Utvecklingsteamets ansiktsuttryck var sevärda när MEB-DD presenterades för dem. I ett gott samförstånd konstaterades att konceptet var bra, men inte genomförandet. Utvecklingen av studentexamensregistret fördröjdes för att hinna färdigställa en fungerande och underhållsduglig applikation till publiceringen av Abitti.
AbittiUSB publicerades tillsammans med Abitti i januari 2015. Vi på SEN var mycket nervösa inför publiceringen och mottagandet av Abitti. Vi ville naturligtvis veta om Abitti fungerar, men samtidigt sprida ett positivt budskap om hur ibruktagandet framskrider.
AbittiUSB gav oss information om antalet skrivna minnespinnar. Dessa siffror följdes med hårt öga på den skärm som monterats på väggen i teamrummet. På första sidan på webbplatsen Abitti.fi pysslade vi ihop grafer som visade antalet skrivna minnespinnar och ordnade prov. Graferna var kumulativa för att säkerställa ett positivt budskap.
I slutet av våren kopierades redan så många minnespinnar att det inte längre var meningsfullt att visa graferna.
Till en början planerade vi att de minnespinnar som används i studentproven skulle köpas som en tjänst av ett företag i branschen. Vi besökte några företag i branschen som stolt presenterade apparater som kopierade några tiotals minnespinnar åt gången. De kopierade filerna från Windows FAT-formaterade minnespinnar till målpinnarna. Inte precis vad vi ville.
Efter besöken bestämde vi oss för att ändra planerna. Skrivandet av USB-minnena var en så central del för att studentexamensproven skulle lyckas att vi behövde göra det själv. För kopieringen skaffades bordsmaskiner med USB 3.1-styrkort och USB-hubbar med metallstomme.
Till en början var det meningen att minnena skulle skrivas med AbittiUSB. Snart upptäckte vi att den tidens Windows inte klarade av att skriva tiotals USB-minnen samtidigt. Däremot var försöken med Linux uppmuntrande. På en dator kunde man skriva över 60 USB-minnespinnar samtidigt.
Från och med hösten 2016 har minnespinnarna för alla studentprov skrivits med USB-monsterprogrammet, som är öppen källkod. Det fungerar endast i Linux och användargränssnittet är vackert uttryckt ”professionellt”.
I åratal har SEN:s minnespinnemästare vänligt men bestämt avvisat alla utvecklingsförslag, eftersom hen anser att USB-monster gör precis vad som krävs: skriver tiotusentals minnespinnar så snabbt som möjligt.
Alla program som används för att skriva minnespinnarna är nu öppen källkod, efter att källkoden för AbittiUSB också publicerades i juni 2022 eftersom den är befriad från aktiv tjänst.
Lättast tar man i bruk USB-monster genom att installera Linux-serverinstallationen skriptad av SEN på datorn.
Tre datasäkerhetssårbarheter har åtgärdats i Abitti. Den mest kritiska av de tre har möjliggjort en attack mot en användare av webbtjänsten oma.abitti.fi (t.ex. mot en lärare). De två andra sårbarheterna berör provtillfället. Rapporterna av alla tre sårbarheterna bygger på en rapport som Studentexamensnämnden fått av en utomstående person.
I oma.abitti.fi kan den som bedömer ett prov returnera de bedömda proven till dem som utfört provet. Detta görs genom att den som utför provet per e-post får en länk, och genom att klicka på länken kan provprestationen, provuppgifterna och materialet i provet ses.
Sårbarheten kunde ha utnyttjats på flera olika sätt. Angriparen kunde ha gjort ett prov med en filbilaga som imiterar Abittis inloggningssida. Därefter kunde angriparen ha utgett sig vara en studerande till läraren som använder Abitti och locka läraren att klicka på länken till filen. För läraren skulle det ha känts självklart att hen måste logga in på Abitti genom angriparens falska inloggningssida. Därmed skulle angriparen ha fått tillgång till lärarens Abitti-användarnamn och lösenord.
Angriparen kunde också ha lagt in JavaScript-programkod i uppgifterna i provet. Programkoden skulle sedan ha kunnat skicka t.ex. eventuella autentiseringskex eller allt bedömningsmaterial som den som tittar på det falska provet har till angriparen.
Denna sårbarhet har åtgärdats genom att förhindra visandet av alla provuppgifter och filbilagor som gjorts med den gamla editorn. Redan tidigare har även meddelats att möjligheten att hålla prov som gjorts med den gamla editorn upphör efter studentexamen hösten 2022.
Sårbarheten berör endast prov som gjorts med den gamla editorn och den har funnits ända sedan Abitti lanserades. Motsvarande angreppsmöjlighet finns inte i prov i MEX-format som gjorts med editorn Bertta.
Det har inte varit möjligt att utnyttja denna sårbarhet i studentexamensproven.
Det är möjligt att i Abitti göra upp prov där användningen av symbolräknarprogram inte är möjligt i provets första del. Denna egenskap används i A-delen i matematikprovet i studentexamen.
Användningen av program som är förbjudna i A-delen har förhindrats genom att frånta examinandernas läsrättigheter till de viktigaste filerna. Tyvärr fanns dock den egentliga programkoden till de program som fungerar med HTML5-teknik (GeoGebra 6 och 4f-häftet) tillgänglig och kunde köras i provmiljön med hjälp av webbläsaren Firefox.
Denna sårbarhet har åtgärdats från och med version ABITTI2216Z genom att examinanderna har fråntagits läsrättigheterna till ett större antal programkoder än tidigare.
Sårbarheten har funnits i Abitti sedan Abitti lanserades. Sårbarheten har också funnits i alla studentexamensprov som gjorts med hjälp av abitti.
Abitti bygger på operativsystemet Debian GNU/Linux. Innan provet börjar startas examinandens dator upp i operativsystemet Linux som laddas från ett USB-minne eller från datorns interna massminne. Då Linux startas ges vissa parametrar till operativsystemets kärna (kernel). Genom att ändra på dessa parametrar kan man t.ex. öka examinandens användarrättigheter under provet.
Utvecklarna har känt till detta angreppssätt. Det hanteras med hjälp av den tekniska övervakningen i provsystemet. Övervakningsprogrammet körs på examinandens dator under provet och resultaten överförs till Studentexamensnämnden samtidigt som provprestationerna laddas upp. I Abitti-övningsproven är övervakningen mycket rudimentär och dess främsta uppgift är att säkerställa att övervakningsmekanismerna fungerar. Utifrån det data som samlas in publiceras statistik om de datormodeller som använts i Abitti (hwdata.abitti.fi).
Rapportören påpekade att den tekniska övervakningen kan luras på olka sätt, bl.a. genom att manipulera programmen i operativsystemet (t.ex. cat, iptables), som övervakningen bygger på.
Denna sårbarhet har åtgärdats från och med version ABITTI2216Z. På grund av övervakningens natur belyser inte Studentexamensnämnden närmare hur sårbarheten åtgärdats. Samtidigt påminner nämnden de gymnasier som ordnar övningsprov att nämnden inte följer med de jämfört med studentexamensproven begränsade uppgifterna från den tekniska övervakningen av övningsproven.
Sårbarheten har funnits med sedan Abitti lanserades. Det är fortfarande möjligt att utnyttja sårbarheten i övningsproven. Utnyttjandet av sårbarheten har följts med i alla studentexamensprov som utförts med Abitti.
Vi vill tacka Daniel Smalin som rapporterade dessa sårbarheter till oss. De uppgifter Daniel gav om sårbarheterna var detaljerade och underlättade arbetet med att lokalisera problemen och hitta det bästa sättet att åtgärda dem både för Abitti-utvecklingsteamet och för vår datasäkerhetssamarbetspartner.
Studentexamensnämnden har förbundit sig att offentliggöra alla datasäkerhetsstörningar inom tre månader. Vi har erfarenhet av att få både enkla e-postmeddelanden och professionella rapporter med inkluderad angreppskod.
Vi vill samtidigt tacka både tidigare och kommande datasårbarhetssökare!
På grund av ett fel i den nyaste versionen av Abitti (ABITTI2216Z) fungerar inte tagningen av skärmdump i sådana gamla prov som det inte varit möjligt att konvertera till det nya MEX-formatet. Man kan känna igen dessa prov i förhandsvisningen i den gamla editorn. Om texten “Provets utseende motsvarar inte proven i studentexamen” visas i förhandsvisningen kommer tagningen av skärmdumpar inte att fungera i den nya versionen av Abitti.
Tagning av skärmdump fungerar i prov som gjorts ned Bertta och i de prov som det varit möjligt att konvertera till MEX-formatet. I det senare fallet visas inte den ovan nämnda varningstexten.
Problemet kommer att åtgärdas under de närmaste dagarna. Innan problemet är åtgärdat kan det kringås på något av följande sätt:
Uppdateringar: